腾讯安全2016年度互联网安全报告

日前,腾讯安全发布了《2016年度互联网安全报告》(以下简称“报告”),以下是报告全文。

一、前言:网络安全面面观

互联网+时代,人、物、商业全都联网,这给世界带来巨大改变。在这个时代,网络安全就变得比任何时候都重要,没有网络安全的“互联网+”就是空中楼阁。

2016年,发生了许多震惊全球的网络安全事件,比如,让人痛心的徐玉玉被骗身亡案、希拉里邮件门、美国断网事件等等。这些重大安全事件再次敲响了网络安全的警钟。此外,《中华人民共和国网络安全法》也顺势出台,让网络安全有法可依;警方、运营商、银行、网络服务商希望携手推进“社会共治”模式,利用大数据等先进技术手段打击网络犯罪。

腾讯作为用户数最多的互联网公司之一,主动担负其保障网络安全的社会责任。2016年腾讯安全与产业链各方联合发起了第二届中国互联网安全领袖峰会,成立腾讯安全联合实验室(旗下有科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全、共7大实验室),仅上半年就向微软、Adobe、苹果、谷歌提交了100多个系统级漏洞。在打击电信诈骗方面,腾讯安全发布“守护者计划”,其中鹰眼反诈骗盒子将电话诈骗损失金额下降80%、麒麟伪基站识别系统投入到警方打击伪基站战斗中。

此外,腾讯安全旗下手机管家、电脑管家、WiFi管家三大终端产品,时刻保护着数亿用户的上网、通信安全。而且在AV-C、AV-TEST等国际安全评测中,腾讯手机管家、电脑管家产品多次取得大满贯的成绩。

1.1 2016年度五大网络安全事件盘点

在2016年众多网络安全事件中,腾讯安全盘点出“五大事件”,这五大网络安全事件包含了病毒攻击、电信诈骗、黑客攻击、信息泄露,涵盖了人们生活的方方面面,让我们更加认识到网络安全的重要性。

1.1.1德国核电站因恶意程序被迫关闭

4月,德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序。核电站的操作员RWE为防不测,关闭了发电厂。 Gundremmingen核电站官方发布的新闻稿称,此恶意程序是在核电站负责燃料装卸系统的Block B IT网络中发现的。据说该恶意程序仅感染了计算机的IT系统,而没有涉及到与核燃料交互的ICS/SCADA设备。核电站表示,此设施的角色是装载和卸下核电站Block B的核燃料,随后将旧燃料转至存储池。

1.1.2美国网络因恶意软件攻击大面积瘫痪

10月,恶意软件Mirai控制的僵尸网络对美国域名服务器管理服务供应商Dyn发起DDoS攻击,从而导致许多网站在美国东海岸地区宕机,如GitHub、Twitter、PayPal等,用户无法通过域名访问这些站点。这是迄今为止,美国最严重的断网事件。

1.1.3准大学生徐玉玉被骗学费悲愤去世

2016年8月,因被诈骗电话骗走上大学的费用9900元,徐玉玉伤心欲绝,郁结于心,最终导致心脏骤停,虽经医院全力抢救,但仍不幸离世。徐玉玉事件引发社会热议,电信诈骗再次成为舆论焦点。此后,最高法院、最高检察院、公安部联合发布了《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,对诈骗罪的范围及处罚做了明确的规定。

1.1.4美国大选“邮件门”

2016年夏季,美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵,近2万封邮件被维基解密披露。邮件显示,希拉里涉嫌抹黑竞争对手,以及可能涉嫌洗钱等财务问题。10月28日,知名黑客KimDotcom翻出了被希拉里删除的邮件,导致FBI重新开始调查希拉里“邮件门”事件,这对于大选前夕的希拉里来说,这是一剂致命针。

1.1.5雅虎15亿用户信息被盗

2016年5月,一名俄国黑客成功盗取2.723亿电子邮箱信息,包括4000万个雅虎邮箱、3300万个微软邮箱以及2400万个谷歌邮箱。随后该黑客将这批邮箱信息以1美元低廉价格在黑市上售卖;2016年雅虎被收购后,曝出雅虎先后共超15亿用户信息遭窃,涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。雅虎两次信息失窃已经刷新了人类大规模数据泄露的新记录,堪称数据泄露之最牛企业。

1.2 《网络安全法》让网络安全有法可依

中国政府早就认识到网络安全对生产、生活、政治的重要性。2014年2月27日,中央网络安全与信息化领导小组正式成立,习近平直接担任组长。在中央网络安全和信息化领导小组第一次会议上,习近平首次提出“网络强国”战略。

他指出,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。

一直以来,中国网络安全问题都没有明确的法律法规,这让大量网络安全事件发生后面临审判、量刑方面的难题,同时也无法为网络违法犯罪起到震慑作用。2016年11月7日《网络安全法》正式颁布,让中国网络安全终于有法可依,这应该是2016年网络安全最重磅的大事件。

《网络安全法》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定,自2017年6月1日起施行。

《网络安全法》明确了网络空间主权的原则,明确了网络产品和服务提供者的安全义务,明确了网络运营者的安全义务。《网络安全法》进一步完善了个人信息保护规则,还建立了关键信息基础设施安全保护制度。

1.3 各方携手推进网络安全社会共治

当前反电信网络诈骗存在技术对抗、跨界合作、数据分享等难点,一方面网络技术的更新带动着网络空间违法犯罪的快速发展与持续变异;而另一方面,相应的法律法规却需要长时间的酝酿才会出台。为彻底打击网络安全犯罪,腾讯安全率先提出了“社会共治”模式,并联合警方、运营商、银行等推出“守护者计划”,并获得公安部、工信部、中国人民银行等多部委、多行业响应。

腾讯董事局主席马化腾呼吁,运营商、银行、网络服务商等有大量数据的企业,可以通过大数据的方式,与这些黑产分子对抗。他还建议由国家牵头搭建具有公信力的第三方平台,大家把各自的数据放心地放在里面进行处理。

用先进的大数据技术打击网络犯罪、电信诈骗将成为2017年的重大看点,“社会共治”模式的建立也将有效保护网络安全。

  • 中国网民扫描:总数1亿

2016年6月我国网民总数已经达到了7.1亿,其中手机网民高达6.56亿。移动互联网的普及,也带来了移动电商、移动支付的普及。互联网与生活、工作方方面面融合在一起,一旦安全出了问题,就会涉及严重的财产损失。而且大量“新网民”的安全防范意识较弱,更容易遭遇危险。

2.1 网民规模高达7.1亿,手机网民占92.5%

截至2016年6月,我国网民规模达到7.10亿,半年共计新增网民2132万人,半年增长率为3.1%,较2015年下半年增长率有所提升。截至2016年6月,我国手机网民规模达6.56亿,较2015年底增加3656万人。网民中使用手机上网的比例由2015年底的90.1%提升至92.5%,手机在上网设备中占据主导地位。

 

2.2 手机支付用户4.24亿 占比继续提高

截至2016年6月,我国使用网上支付的用户规模达到4.55亿,较2015年底增加3857万人,增长率为9.3%,我国网民使用网上支付的比例从60.5%提升至64.1%。手机支付用户规模增长迅速,达到4.24亿,半年增长率为18.7%,网民手机网上支付的使用比例由57.7%提升至64.7%。

 

从以上数据分析,当前中国网民数持续攀升,互联网开始广泛普及。手机网民数占比较高,推动移动电商、手机支付等业务的发展。同时,40岁以上和10岁以下网民数有增长,意味着移动互联网正在向更广泛的群体普及。而这群“新网民”更容易遭遇网络攻击、欺诈。

互联网已经开始渗透到生活的方方面面,特别是涉及到金融、支付,这也给网络安全提出了更高要求。未来的移动支付、智能家居、人工智能等业务均需要建立在安全的基础之上。

三、网络病毒威胁持续攀升

随着互联网的普及以及对经济生活的全面渗透,病毒、木马、网络诈骗等风险不断增加。2016年新发现PC病毒数相比2012年增加了67%。感染手机病毒的用户也逐月攀升,2016年12月到达顶峰,比1月增加了81%。

3.1 新发现PC病毒1.48亿,流氓软件和盗号木马风险高

3.1.1 2016年电脑端新发现病毒1.48亿

2016年腾讯电脑管家反病毒实验室新发现病毒1.48亿,比2012年新增了67%。而且新发现病毒数逐年持续攀升。

 

3.1.2 全年共拦截病毒次数超47亿

腾讯电脑管家全年拦截病毒次数超过47亿次,平均单月拦截近4亿次。5月、6月为拦截病毒的高峰,分别为5.6亿、5.4亿。

 

3.1.3流氓软件和盗号木马的风险仍极高

全年腾讯电脑管家共拦截流氓软件机器数高达2.9亿次,查杀流氓软件机器数高达3700余万。除了流氓软件,腾讯电脑管家还查杀QQ盗号木马7656万、检出感染DNF盗号木马的机器28万余个、检出剑灵盗号木马35万、LoL盗号木马12万。

 

3.1.4 全年共有8.2亿次机器中毒

腾讯电脑管家全年共发现8.2亿次机器中病毒或木马,平均每月为7000万台中病毒PC进行病毒查杀。

 

3.1.5 网站下载、流氓软件占木马传播渠道5成以上

在木马传播渠道中,网站下载占比28.6%、流氓软件推广占比24.8%、邮件传播占比15.9%、网络挂马占比13.3%、即时通信占比5.7%、网吧传播占比4.6%、装机渠道占比2.9%、硬件媒介占比1.8%。用户应该尽可能减少从非安全站点下载软件、文件、视频、图片等,特别是一些号称破解版的软件。

 

3.1.6全年新增钓鱼网址4.4亿 以诱导用户支付为主

随着移动支付的普及,以诱导用户发生网络支付为主要目的的诈骗手法越来越多,其中以兼职诈骗、色情诱导支付、赌博诱导支付为主。

 

①兼职返现诈骗是一种以返现为诱饵,诱导用户去购物平台下单、支付的诈骗手法,诈骗团伙一般会构造一个山寨的京东、天猫、唯品会网站,通过返现诱导用户去平台刷单购物,单个用户的涉案金额在几千到几万元不等;

②色情诱导支付一般通过播放一小段色情视频,诱导用户注册会员继续观看来实施诈骗。此类网站传播广,影响范围大,高峰期一天传播上亿次,单个用户涉案金额小,一般在几十块。

 

③赌博诱导支付一般是非法的博彩赌博平台,利用用户的贪婪,诱导用户去平台注册赌博,平台往往以各类理由拒绝用户提现;随着手机支付的普及,越来越多的赌博平台支持手机支付;此类诈骗涉案金额大,单个用户可能会投入数十万。

3.1.7 中毒电脑用户集中在11-30岁的男性

从数据看,中毒电脑用户的年龄主要为11到30岁的青少年群体,特别是11至20岁的少年电脑用户占比高达55.58%,他们主要集中在中学生、大学生。其中,男性用户占比高达84.16%、女性占比13.18%。

 

 

3.1.8 超1成中毒PC来自广东省

在所有中毒机器中,广东省的机器占比高达10.73%、山东省占比7.99%、江苏省占比7.56%、河南省占比6.74%、浙江省占比5.98%、四川省占比5.02%、河北省4.75%、湖南省3.65%、北京3.6%、黑龙江3.44%,中毒机器TOP10省份也是网民用户最多的10大省市。

 

3.2 手机病毒感染用户数达5亿,广东省最多

3.2.1 手机病毒感染用户数达5亿

2016年,手机病毒感染用户数同比增长62.43%,总数达5亿人次,创下历年新高。2016年12月,感染手机病毒安卓用户数5692万,比1月份的3117万增加了81%。

 

3.2.2全年检出手机病毒6682万次

全年腾讯手机管家共检出病毒6682万次,基本呈现逐月增加趋势。

 

  • 静默删除短信类手机病毒占比最高

分析病毒特征发现,手机病毒最爱删除短信,这一类型占比高达76.76%。其次执行反射占比达67.74%、隐藏图标占比65.16%、静默发送短信占比56.88%、隐私数据上传占比50.96%。

 

3.2.4  84.24%的手机病毒属于资源消耗类病毒

资源消耗类病毒占比第一,高达84.24%,主要表现为常驻手机内存、自启动、联网、发送短信等。

 

3.2.5 电子市场成手机病毒主要传播渠道

2016年手机病毒渠道来源主要分为七大类,分别是电子市场、软件捆绑、手机资源站、手机论坛、网盘传播、二维码和ROM内置,其中电子市场病毒传播比例也最高,占比22.51%。虽然正规大型电子市场基本都接入了手机安全厂商的病毒查杀引擎,大部分手机病毒在上线之前即可被检测出来,无法上架传播,但不少中小型电子市场仍存在不规范的现象。

 

3.2.6 手机病毒省份TOP10,广东第一

在感染手机病毒的设备中,广东省占比13.3%、河南省占7.2%、浙江省6%、江苏省5.8%、山东省5.2%、四川省4.9%、湖南省4.1%、河北省4.1%、广西3.8%、北京市3.7%。

 

3.3 手机支付病毒包占总病毒包2.39% 广东省第一

3.3.1 全年3444万人感染手机支付病毒

全年共有3444万安卓设备感染手机支付病毒,相比2015年新增支付病毒包超过45万,占总病毒包的2.39%。

 

 

3.3.2 支付病毒TOP10省份,广东第一

在感染手机支付病毒的手机中,广东省占比10.82%、河北省占比9.59%、云南省占比7.07%、江苏省占比6.22%、北京市占比5.62%、四川省占比5.18%、河南省占比5.02%、贵州省占比4.9%、山东省占比4.84%、山西省4.65%。

 

四、垃圾短信超10亿,广告类超8成

4.1全年共举报垃圾短信10.7亿次

腾讯手机管家用户全年共举报垃圾短信10.7亿次,其中诈骗短信举报数量为1.1亿次,占比10.91%。从数据走势看,垃圾短信数量呈现逐月攀升态势,特别是11月、12月出现举报垃圾短信的高峰期,这同双11、双12的全民网购节、春节商家营销有着密切关系。

 

4.2广告类占比高达80.56%

在用户举报的垃圾短信中,广告类垃圾短信占比为80.56%,位居第一。在微信等网络社交工具普及的时代,用户的短信基本来自银行、运营商的通知短信,以及垃圾短信,其中就包含广告类、诈骗类(8.58%)、违法类(9.83%)和其他。

 

4.3诈骗短信中非法贷款占比17.53%

在诈骗短信中,非法贷款占比最高,为17.53%。恶意网址占比13.32%、伪基站占比12.8%、赌博诈骗占比10.34%、网购占比8.32%、热门节目中奖占比7.2%、邮包快递占比6.51%、购买黄牛类占比5.36%、冒充房东转账类占比3.86%、高薪招聘占比2.32%、冒充熟人亲友占比2.12%、色情及代孕求子占比1.77%、冒充银行占比1.83%。

 

在违法类短信中,假证、发票买卖占比最高为27.48%、非法赌博占比17.71%、考试及学历买卖占比13.39%、色情内容占比12.55%、高利贷占比12.46%、违法物品买卖占比11.33%、敏感信息4.42%,此外还有低价售车、保外就医、枪支弹药。

 

诈骗、违法类短信也反映了当前社会的一些普遍现象,比如,非法贷款就反映出当前金融行业资金紧张、互联网金融泛滥的现状;网购、邮包等,又反映出当前网购普及的现状。在这些普遍性社会现象面前,手机用户最容易放松警惕而导致被骗。

4.4北京市垃圾短信最泛滥

举报垃圾短信最多的城市是北京市,占比3.75%,其次是深圳市、郑州市、温州市、广州市、成都市、昆明市、上海市、南宁市、重庆市。

 

而在省份Top10中,广东省垃圾短信举报量第一,占比11.36%,其次是河南省、山东省、江苏省、浙江省、河北省、广西省、四川省、湖南省、辽宁省。

 

经济越发达的地区,垃圾短信数量越多,用户举报的量也就越大。因为这些区域的短信营销活动更多,智能手机普及率更高,而且腾讯手机管家的安装量更大。

五、骚扰电话与诈骗电话持续增加

5.1全年用户标记骚扰电话5.96亿次

2016年,腾讯手机管家骚扰电话标记数5.96亿,同比下降44.77%。

 

5.2诈骗电话占比24.39%

在所有标记的骚扰电话中,诈骗电话占比最高为24.39%,其次是广告推销占比16.86%、房产中介占比8.97%、快递送餐占比7.28%、出租车占比4.39%。快递送餐、出租车都反映出当前网络订餐、网约车市场的火爆。

 

5.3深圳市用户标记骚扰电话最多

在标记骚扰电话的用户中,广东省最多,其次是北京、上海、江苏、福建、山东、浙江、四川、河南、安徽。

 

如果按照城市分类,用户举报骚扰电话最多的十大城市分别为深圳市、广州市、成都市、东莞市、苏州市、南宁市、武汉市、西安市、南京市、杭州市。

 

六、2016热门木马、病毒和诈骗盘点

2016年,互联网安全威胁频发,以病毒木马、手机病毒、电信网络诈骗三大类为主。

6.1 五大木马病毒:盗取聊天记录、敲诈勒索

6.1.1 黑暗幽灵木马可窃取聊天记录等各种隐私信息

该木马主要因为网络不安全导致的。一台无任何系统漏洞的机器只要连接到这些网络后,在一段时间后会感染木马,经分析发现木马主要通过在网络上劫持替换大量软件的自动更新程序进而感染电脑。当安装在电脑上的软件进行自动更新时,更新包被替换成木马,导致电脑被入侵。

黑暗幽灵木马的主要特点: 

①收集情报。木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。

②对抗安全软件。木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。

③中毒用户无感知。木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。

防范方法:

腾讯安全联合实验室专家建议,用户下载更新程序尽量使用https等安全加密的通讯协议,对下载回来的文件在加载运行前一定要做签名校验。尽量不要使用安全性未知的网络上网,如公共WIFI、酒店网络等。此外安装安全软件可在一定程度上防御此类攻击,目前电脑管家已率先查杀该木马及其变种。

6.1.2 苏克拉木马通过Ghost盗版系统传播

刚重装的系统就中毒了,这是很多网友常常遇到的事,这很可能是你安装的系统自带了木马。一个名为“苏拉克”的木马通过ghost系统镜像下载植入到大量用户计算机中,一旦用户使用相关镜像进行重装系统,系统安装完毕,木马就开始运行。

苏克拉木马的主要特点:

①通过ghost系统传播。腾讯安全反病毒实验室通过对网民常用的ghost系统下载网站进行大面积地下载安装并进行分析,发现大量ghost系统已被“苏拉克”木马污染。木马在此类网站投入了大量推广费,普通用户通过搜索引擎找到的前10个系统下载站几乎全是带木马的,其中涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“番茄花园”等主流ghost系统。

②限制安全软件功能。由于“苏拉克”木马早在用户安装安全软件之前就已经进入系统,先入为主,对随后安装的安全软件做了大量的功能限制,如安全防护无法开启、信任列表被恶意操作等,使其难以检测和清除木马。

③锁定浏览器主页,自动下载其他木马。“苏拉克”木马不仅可以锁定浏览器主页获利,还会实时连接云端下载其它木马,就像是率先打入安全城堡的内应,不但控制了护院的安全软件,还从里面为病毒群敞开大门,其危害性可想而知。此外,该木马还会破坏Windows系统自身的安全机制,大大降低系统的安全性。

防范方法:

腾讯安全反病毒实验室对通过国内各大搜索引擎找“ghost”、“ghost xp”、“ghost win7”等关键词排名前10的ghost镜像全部进行下载安装分析,发现90%以上的ghost镜像都是带有木马的。安全专家建议用户选择正规渠道购买、安装正版操作系统,通过下载ghost镜像安装系统虽然快速省事,但其安全性,确实很令人担忧。

6.1.3 暗云Ⅱ Bootkit木马让电脑瞬间变“肉鸡”

“暗云”木马在2016年上半年大规模爆发,全国数十万用户电脑被感染。新发现的“暗云”木马在模块分工、技术对抗等方面与老暗云相比有着明显的晋级特征,在强化原本的隐蔽性、兼容性和云控外,木马运行更趋稳定,并且难以清除。因此本次爆发的木马被命名为“暗云Ⅱ”。

“暗云Ⅱ”的主要特点:

①代码放云端实时更新。“暗云Ⅱ”将主要代码存储在云端,可实时动态更新。

②锁定浏览器主页。该木马目前主要有下载推广恶意木马、锁定浏览器主页、篡改推广导航页id等恶意行为。

③让电脑变“肉鸡“。腾讯安全反病毒实验室检测到“暗云Ⅱ“正着力扩散某木马,以进行网络攻击。一旦中招,用户电脑便会沦为“肉鸡”,无条件接受黑客的指令,攻击指定网站服务器等。目前通过监控发现,被攻击的服务器类型主要是网游私服。

防范方法:

目前腾讯电脑管家可查杀“暗云Ⅱ”木马。普通用户也可通过以下办法来检测自己电脑是否感染“暗云”系列木马:

一是发现安全软件报毒,清除文件后重启,电脑再次报毒;

二是打开导航、购物等网站,网址被强加推广id;

三是发现电脑出现父进程非services.exe的svchost.exe进程。

上述任意一种情形,都是“暗云”系列木马的中毒表现,建议用户立即使用电脑管家专杀版进行体检杀毒。

6.1.4 Peyta敲诈木马加密文件索要金钱

有企业HR反映,在收到求职邮件并打开其中附件后,电脑被迫重启,重启后发现文件被加密。若想电脑恢复正常,就要交付“电脑赎金”。HR收到的求职简历中,实际携带了一种新型敲诈类木马“Petya”。

Peyta敲诈木马的主要特点:

①通过HR部门邮件传播。 该木马定向企业HR部门邮箱,伪装成求职者简历文件,诱使HR打开文件后,给文件加密,达到敲诈获利的目的。

②诱骗用户重启电脑。受害用户打开携带病毒的邮件附件,木马即开始运行,首先修改磁盘引导扇区,接管电脑启动流程。然后,木马强制重启电脑并显示一个虚假提示,让受害者以为系统正在进行磁盘扫描修复,实际上该过程正是木马对磁盘文件进行加密。

③加密电脑索要赎金。加密完成后,用户无法进入系统,无法打开文件。这时候木马会显示敲诈信息,要求受害者根据指示支付赎金,以换取密码解密磁盘。

防范方法:

腾讯安全联合实验室专家建议企业HR部门工作人员谨慎打开不明求职简历邮件,不要从邮件中下载科执行文件。目前,腾讯电脑管家和哈勃分析系统已经可以对该木马进行检测和查杀。

6.1.5 “萝莉”蠕虫主要感染《魔兽》

腾讯电脑管家发现一个可疑脚本被创建为启动项,通过分析和搜索相关信息,发现大量《魔兽》玩家也反馈,从网上下载了魔兽地图后,在玩游戏的时候不知不觉电脑就被装了其他应用,还会在玩游戏时跳出广告。其实,这是被萝莉”蠕虫病毒感染了。

“萝莉”蠕虫的主要特点:

①通过魔兽地图传播。蠕虫作者上传带蠕虫的魔兽地图,并以该地图创建房间吸引其他玩家进入房间游戏;玩家进入房间后,就会自动下载该地图,并进行游戏后,触发魔兽地图里恶意脚本。

②感染魔兽目录下的所有正常地图。当玩家重启电脑后,Loil.bat获得执行,通过脚本下载loli.exe执行;Loli.exe把玩家魔兽目录下的正常地图文件全部感染植入蠕虫。玩家在不知情的情况下,会使用这些被感染的地图创建游戏,感染更多玩家;

③在魔兽游戏中乱弹广告。感染了魔兽地图后,会在玩家玩游戏的时候,弹出广告推广软件牟利,很可能导致电脑安装其他木马病毒。

防范方法:

腾讯安全联合实验室专家建议,不要从非官方下载魔兽地图。腾讯电脑管家已经首发了专杀工具,如果发现被感染,可以下载专杀工具查杀。

这五大PC木马通过不安全网络、热门游戏、盗版操作系统等方式进行传播,所以提醒广大网民一定要选择安全网络,不要在论坛、网站上随意下载应用,尽可能不要使用盗版操作系统。

6.2 五大手机病毒:窃取短信、锁死手机

6.2.1 “粗口木马”—— 偷走你的短信

“粗口木马”是上半年变种最多、流传最广、影响最恶劣的木马病毒之一。

 

 “粗口木马”主要特点:

①“粗口木马”是一种支付类手机病毒,依附于某应用程序中。

②通过伪基站+钓鱼网址传播。犯罪分子往往通过伪基站,伪装为运营商或银行等客服号码,向用户发送带有钓鱼网址的短信,如:“我是XX,市里刚下的紧急文件速看,m.ccbj**.com”。一旦用户点开链接下载程序,就会立即激活“粗口木马”。

③窃取所有短信。该木马可以在用户无感知的情况下截获包括验证码在内的所有短信,并将读取的短信内容发送到指定邮箱,例如:we**p@21cn.com,便于诈骗团伙实施用户隐私盗取和银行卡盗刷等犯罪行为。

防范方法:

腾讯安全联合实验室专家提醒,不要在非安全电子市场下载应用,不要随意打开短信中的网址链接。安装腾讯手机管家可以拦截伪基站发来的恶意短信和钓鱼网址链接,并可查杀该木马。

6.2.2 Android锁屏勒索类病毒 —— 不给钱?别解锁!

手机屏幕即被锁定,用户无法正常使用手机, 中毒以后病毒还会向用户勒索钱财,有些用户因为无法联系上作者而选择刷机,导致用户数据丢失。其实手机感染了锁屏勒索类病毒。

 

锁屏勒索型病毒主要特点:

①通过伪装游戏外挂等应用传播。锁机勒索型病毒主要通过伪装成游戏外挂,刷钻等人气应用,通过QQ群进行传播,也会利用百度贴吧等渠道进行传播。

②锁屏后敲诈勒索。一旦中毒了,手机屏幕即被锁定,用户无法正常使用手机, 中毒以后病毒还会向用户勒索钱财,有些用户因为无法联系上作者而选择刷机,导致用户数据丢失.。

③日感染用户8万。进入2016年以后,日感染用户数在8万人左右,该灰色产业的日规模可能超百万元。

防范方法:

不要在QQ群、百度贴吧等处下载外挂、破解,刷钻等应用。安装腾讯手机管家可防范此类病毒。

6.2.3 开学通知书 —— 骗子给你上上课

刚一开学,家长就收到一个“学校”发来的开学通知书,并附带网址,点开后银行资金便被盗刷。这就是知名的开学通知书病毒。

开学通知书病毒主要特点:

①诈骗短信+钓鱼网址传播。开学通知书病毒通过冒充“学校”发送的含钓鱼链接的“开学通知书和课程”诈骗短信,攻击家长用户的手机。

②窃取短信中的隐私信息。“开学通知书”短信中的链接实际上是木马病毒,该病毒启动后将拦截用户短信,并将短信转发给指定号码,泄漏短信中的账户或密码,比如,用于支付的短信验证码。

防范方法:

腾讯安全联合实验室专家提醒这类专门为学生家长“量身定制”的诈骗手段还有 “学生成绩单”、“体检报告”、“检查寒假作业”、“返还学杂费”、“帮班主任投票”等含有链接的短信,家长不要点击任何带有网址链接的不明短信。同时,安装腾讯电脑管家可以拦截伪基站发来的恶意短信和钓鱼网址链接,并可查杀该木马。

6.2.4 手机实名认证 —— 去登记?小心病毒!

手机收到一个手机实名认证的短信,点开里面的网址后,手机就中毒了,这就是手机实名认证病毒。

 

病毒主要特点:

通过伪基站模仿运营商官方号码病毒短信通过伪基站模仿运营商官方号码,在短信正文中告知用户“您好!根据国家实名制规定,你尾号261的号码需要更新实名登记,未登记将暂停主叫。点击t.cn/Rc***kV完成补登记,退订回T”。诱骗用户点击链接安装手机支付病毒。

②拦截并转发短信,盗刷资金。该病毒启动后可拦截用户短信,并将短信转发给指定号码,泄漏用户短信中的账户或密码,给手机安全造成威胁。

防范办法:

腾讯安全联合实验室专家提醒,除了手机号码的实名登记,诈骗分子还会依托银行机构或支付平台,向用户发送含有病毒链接的实名认证类短信,用户一旦点击便可能泄露个人信息,甚至遭受经济损失。

用户不要点击任何带有网址链接的不明短信。同时,安装腾讯手机管家可以拦截伪基站发来的恶意短信和钓鱼网址链接,并可查杀各类手机支付病毒。

6.2.5 刷单助手?——刷的不是单,是卡!

 

网店的日单数通常是店铺升级的重要标准。刷单助手可以让卖家根据需要设置宝贝搜索,如关键字、浏览器、掌柜ID等,以及浏览时间、货比三家等。实际上,该软件“强大”功能背后,包含“a.gray.plugingame.f”病毒,属于外挂类软件。

病毒主要特点:

①借助双11等热点传播。双11网购节,很多店家都想刷单提高店铺销量、评价和信誉,这也让犯罪分子看到了商机。

②不断弹窗影响手机使用。病毒启动后会申请手机root权限,不断弹出影响手机使用,还可能窃取隐私。

防范方法:

腾讯安全联合实验室专家提醒广大用户,不要被“刷单”“超优惠”“一折够”等字眼迷惑,不要下载此类软件。这五大手机病毒基本都是通过伪基站发送短信,在短信中植入恶意网址,通过恶意网址下载病毒的方式感染手机。所以广大手机用户千万不要轻易点开手机短信中的网址链接,最好安装腾讯手机管家进行拦截和查杀。

6.3 十大电信诈骗:最高骗走1760万

6.3.1 假冒银行发送手机银行更新短信,女子被骗20万

2016年2月,戴小姐收到一条“95588”发来的短信,提醒她进行手机银行更新。戴小姐点击短信内链接,跳转的页面也和真的工商银行网银页面十分相似。戴小姐随即按照要求输入卡号、密码还有验证码,最终卡内近20万余额被分三次转走。

安全解读:钓鱼网站是骗子最常用的诈骗手段之一,诈骗分子通常通过在短信内嵌入钓鱼链接的形式,诱导用户进行点击。这类网站一般会仿冒银行网站、通信网站等,其外观与正版网站极为相似,迷惑性极高,因此成功率也极高。

6.3.2 女子回复“退订”短信,所有财产全被骗走

2016年4月,北京一女子收到一条1065800发来的短信杂志,女子在回复退订短信后,损失了全部财产。

安全解读:在此案例中,受害者的个人信息事先通过各种渠道被泄漏,掌握信息的骗子通过登录机主的网上营业厅提交订阅申请,之后利用机主着急退订的心理,紧接着发来钓鱼短信,诱使机主回复“取消+验证码”,套取了系统下发给用户的真实的验证码。之后又申请了换卡,进而确认验证码换卡成功,而后再发生更为严重的网银资产的盗取。

6.3.3 黄晓明遭遇短信诈骗,机智回应制服骗子

2016年5月18日晚,演员黄晓明在微博晒图,自曝收到诈骗短信。“黄晓明家长,您小孩参加联盟运动会比赛中精彩的照片,附链接校通讯(实为恶意apk)”,引起广泛讨论。

安全解读:这类诈骗案例中,骗子通过冒充学校或学生的名义给家长发送短信,利用家长对孩子的关心诱导安装恶意apk。部分恶意apk在手机安装后,自动拦截短信窃取手机验证码,进而通过验证码窃取用户资金,隐蔽性极强,因此成功率也极高。此类诈骗通常针对的目标比较明确,极有可能是校讯通之类的家长用APP泄露了信息给黑产团伙。

6.3.4 山东临沂女孩徐玉玉被骗光学费 郁结于心离世

2016年8月份,一则令人心痛的消息传来,山东临沂女学生徐玉玉因学费被骗心情郁结,导致心脏骤停去世。

安全解读:开学期已逐渐形成一个周期性的诈骗高峰期,诈骗分子通过假扮成教育部门工作人员给被害者打电话,并告知有助学金、奖学金发放,要求被害者到ATM进行相关操作取钱,在ATM操作过程中,诈骗分子通过下达一系列复杂指示,让受害者误操作并向诈骗分子银行账户汇钱,最终导致财产损失。

6.3.5 襄阳女子连接公共WiFi,被骗23.5万

襄阳一女子因随手登录了手机搜索到的一个公共WIFI,并用第三方快捷支付平台购买了一张彩票而损失近23.5万元。

安全解读:风险WiFi主要存在于人流密集的公共场所,黑客通过无线路由、网卡设置发射WiFi热点,设置共享网络,用户在成功连接WiFi后,黑客通过诱导用户访问钓鱼网站、窃取用户网络等方式获得用户的个人隐私信息(包括身份信息、网银账号密码等),最终造成损失。

6.3.6 深圳78岁独居老人“涉嫌走私”,被骗1156万

今年8月,深圳一位78岁独居老人接到电话得知其“名下有一个包裹涉嫌走私”,随即另一个诈骗电话自称“上海市公安局”与受害人取得联系,通知受害人立即将其名下的银行卡开通网银转账,接受安全检查,老人随后在诈骗分子的“帮助”下被骗1156万元。

安全解读:独居老人是诈骗分子重点侵害对象,诈骗分子通常利用其对外信息不通畅和“不安、恐惧”的心理实施诈骗。受害者出于恐慌不安的心理,以及缺乏对信息真实性的判断力而极易被骗。

6.3.7 清华大学老师遭“公检法”诈骗1760万

2016年8月29日,中关村派出所110接报,海淀区蓝旗营小区清华大学一老师,被冒充公检法人员电信诈骗人民币1760万元。

安全解读:假冒公检法是诈骗分子常用的手段之一,通过冒充公安机关、检察机关等单位工作人员,告知其涉嫌走私、洗钱、贩毒等犯罪为由,要求受害人将个人银行账户中的现金转至其他银行账户接受检查,并以此获利。清华大学老师被骗一案中,骗子假冒警察,称他漏缴各种税款等等,各种恐吓威逼,并最终顺利得逞。

6.3.8 女孩网购遇退货骗局,一小时损失16.5万

2016年11月,女孩小林在亚马逊官网购买了一根数据线。但随后一个自称亚马逊客服的电话却说她的订单被退货了,加上之前接到快递的电话,说有快递没有送达,因此相信了客服,并最终被骗16.5万。

安全解读:在网购迅速发展趋势下,骗子也紧跟热点,利用网购退款、网购系统升级和降价低价甩卖等说辞进行诈骗,通过发送含有钓鱼网站链接的短信诱使受害者点击钓鱼链接,又或者通过打电话诱导受害者到ATM进行转账,进而造成受害者的财产损失。

6.3.9 ETC卡隔空被盗刷,交通部要求停发此类联名卡

今年12月,一男子用便携式POS机在一辆装有ETC的车前盗刷付款成功。男子首先在一辆装有ETC的车前挡风玻璃处一贴——付款100元成功,然后在装有ETC装置的汽车挡风玻璃前面轻轻一刷,点击确认,随即付款成功,不需要支付密码和本人签名。

安全解读: ETC卡是市场上流通的ETC卡中的一种,为交通行业与银行联合发行二合一的卡片,如有“闪付”功能且开通了“小额免密免签”功能,联名卡的银行账户则极有可能存在此风险。为解决这一安全隐患,包括交通运输部已着手对今后ETC卡发行和存量联名卡做出安排。通知要求在与银行合作发行ETC卡的工作中,要推进使用与银行卡账户关联却分离的联名卡,暂停或取消发行“二合一”的ETC联名卡。经认真研究确有必要发行的,应要求合作银行默认关闭“闪付”功能和“小额免密面签”服务。

6.3.10 男子冒充领导,成功骗取7万元

日前,厦门一男子就通过冒充领导发送短信,谎称自己手机换号,取得受害者信任后,随即编造理由成功诈骗了7万元。

安全解读:“换号诈骗”作为一种新型电信诈骗手段呈现迅速蔓延趋势,这类诈骗电信通过冒充熟人手机换号进行诈骗。骗子利用这种形式,冒充用户亲朋好友,并以换号的名义发送短信,同时也会利用呼叫转移等方式骗取用户信任并进行诈骗。在取得信任后,骗子会进一步编造谎言如遇到困难需要周转资金等让用户进行汇款,进而造成财产损失。

从这十大电信诈骗案件来看,诈骗分子充分结合当前时事热点设计诈骗骗术,让受害人更轻易的上套。同时,社会工程学原理的熟练运用也让受害人难以辨别真伪。而在这些案件的源头都存在用户信息泄露,导致了精准诈骗的发生。

因此,大家电信诈骗需要警方、银行、用户、安全企业全方位的协作配合。腾讯推出的伪基站地图、鹰眼盒子都可以帮助警方通过技术手段锁定伪基站位置,发现和拦截诈骗电话,提高破案效率,防范于未然。

七、2017年网络安全趋势分析与防范建议

  • 2017年网络安全趋势分析

7.1.1 PC端病毒木马变种加快,攻击方式更为多样化

①敲诈者变种加快将出现更加多样的传播载体、变种对抗频率加快、除了网络挂马和钓鱼邮件外可能出现其他传播渠道、可能会出现针对高价值目标的持续性攻击。

②网络挂马继续活跃:网络挂马是木马大面积传播的主要渠道,2017年挂马攻击和安全软件的对抗将越发激烈。

③以流氓推广、刷流量、锁主页为主的灰色产业仍将活跃,是黑灰产重要的变现渠道。

④APT攻击更加专业:除了传统的水坑攻击和鱼叉攻击外,可能出现更多的攻击手段,如WIFI渗透,社工等。

⑤DDoS攻击更加频繁,危害更大:除了传统的PC外,更多的物联网设备,手机等可能加入DDoS攻击行列,攻击流量越来越大,危害巨大。

7.1.2 借势热点,电信网络诈骗“与时俱进”

2016年多款大热的病毒都利用了社会热点,例如:2016上半年肆虐的锁屏勒索病毒经常将自己伪装成红包,热门游戏外挂、支付拦截马则经常将自己伪装成开学通知书、婚礼请帖,双十一的时候出现大量虚假购物网站,假快递公司APP和春运抢票季萌芽的12306钓鱼网站等事件都结合了相关社会热点。2017年这种利用热点实施诈骗的案件会更多。

  • 支付拦截木马转换传播模式

由于网络实名制的逐渐普及。大大限制了网络犯罪分子获得大量可用手机号的可能性;号码资源的短缺也促使病毒向蠕虫式传播方向发展,实名制以后,大量的支付拦截木马开始直接利用中毒用户手机给通讯录里面的所有成员发送相关诈骗短信,在瞬间就实现爆发式传播。对于收到的带链接的熟人短信,用户需要高度警惕切记不可随意打开。

7.1.4 打击个人信息泄露犯罪将成2017年重点

2016年起,国家已经多次采取行动查处非法拨打骚扰电话的行为,其中房产中介、4s店等受到的惩处力度最大,多名嫌疑人因涉嫌侵犯公民个人信息罪被警方采取强制措施,充分说明个人隐私保护已经引起国家层面重视。

而且大量的诈骗案源头都是信息泄露。根据刑法修正案(九)的规定 “违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”依法打击个人信息泄露犯罪成为2017年的重点。

7.1.5 大数据技术助力警方打击网络犯罪

2016年,腾讯安全将自己的安全技术、安全大数据开放给整个产业链,帮助警方破获了多个大案要案。2017年,这种“警企”合作模式会更加成熟,大数据技术将在警方打击网络犯罪中起到更加重要的作用。

目前,腾讯安全的伪基站实时监测系统—“麒麟伪基站实时检测系统”和“鹰眼智能反电话诈骗系统”两款大数据反诈骗产品已经部署在全国各地公安机关,助力打击电信网络诈骗。

7.2 腾讯安全联合实验室安全专家建议

面对越来越多严重的网络安全风险,腾讯安全联合实验室专家为广大网民提供以下防范建议:

①应通过可信安全的大型渠道、电子市场或者官方网站下载安装软件,比如从腾讯电脑管家的软件管理中下载PC软件,从应用宝等安全电子市场下载手机APP。不要轻信小型论坛、网盘或者直接搜索得到的链接,尤其是对各种绿色版、破解版、加强版软件要提高警惕。

②不要轻信各种社交媒体中流传的信息、网址链接,比如群或个人主页中的各类内容。目前木马形式多样,可执行文件、压缩包、文档甚至网页链接都可能成为其传播的渠道,尤其是各类节日、热门影视、热点事件相关的内容,在点击时一定要对安全性进行确认。

③有日常使用邮件处理工作需求的用户,务必留意邮件的安全性,防止访问邮件中恶意构造的钓鱼或者挂马网页,或是让木马以邮件附件的形式传播到电脑中。

④近年来,文件加密敲诈类木马呈爆发态势,用户在防范木马发作的同时,建议定期对电脑中的重要文件进行备份,以防止木马造成严重损失。

⑤用户应养成使用安全软件来保护电脑、手机安全的习惯,比如下载使用腾讯电脑管家等安全类软件,开启实时防护功能,并保持软件及时更新到新版。遇到未知的文件,也可以将其上传到腾讯哈勃分析系统进行分析,确认文件安全性。

下载安装如腾讯手机管家一类手机安全软件,定期给手机进行体检和病毒查杀,及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。

⑥切勿轻信陌生电话、短信中内容,提高防骗意识。诈骗短信形式多样化,各种新型短信木马泛滥,通过诱惑性的短信自带病毒链接的支付类、隐私窃取类病毒迅速增长。对于“开学通知”、“考试成绩单”、“户籍管理”、“手机实名制”、“交通违章”等病毒短信切忌点击其中链接。不要轻信陌生电话、短信中所谓的“学校老师”、“公安机关”、“亲戚好友”“XX公司工作人员”,必要时进行信息核实。

⑦保护个人隐私信息,不轻易向他人透露个人信息。不轻信任何400电话、170、171虚拟运营商电话、网购客服号码、955*银行客服号、10086运营商或陌生人打来的退款电话以及退款短信。不要向任何陌生短信、电话透露个人账号、密码、身份证信息。收到此类短信、电话,请务必提高警惕 。

⑧二维码目前已成为主要的染毒渠道之一,手机用户不要见码就扫,最好安装具备二维码恶意网址拦截的手机安全软件如腾讯手机管家进行防护,以降低二维码染毒风险。

 

上一篇:瑞星2016年中国信息安全报告

下一篇:赛可达发布2016年度全球中文PC杀毒软件横评报告